Alle Aktivitäten

Ich habe das gleiche Verhalten wie @mzahneissen in meiner Testumgebung. @cj_berlin - sorry, ich hab deine Textbausteine einfach schnell kopiert ;) # Setup ungehärteter uneingeschränkter bidirektionaler Forest Trust (Dom A & Dom B, Dom B1) Auf einer Seite: Root + Sub, auf der anderen Seite: Single-Domain Auf allen Members UND DCs gilt: "Kerberos client support for claims etc." PKI ist keine implementiert, somit auch keine Strict KDC Validation oder Ähnliches Aktueller Updatestand auf allen Domaincontrollern und Servern Credential-Guard auf allen Server ist aktiv # KDC - Kerberos Amoring -> Supportet ✅ Server (Dom A) greift auf DC (Dom A) zu ✅ Server (Dom A) greift auf Share Server (Dom B) - vice versa ✅ DC (Dom A) greift auf Share DC (Dom B) - vice versa ✅ Anmelden mit Benutzern der jeweils anderen Domäne # KDC - Kerberos Amoring -> Fail unamored authentication requests ✅ Server (Dom A) greift auf DC (Dom A) zu ❌ Server (Dom A) greift auf Share Server (Dom B) - vice versa -> Benutzerabfrage, vermutlich NTLM. ✅ DC (Dom A) greift auf Share DC (Dom B) - vice versa ❌ Anmelden mit Benutzern der jeweils anderen Domäne Ich bekomme auf dem Server, wenn ich mit einem User der anderen Domäne anmelden möchte: -> Security, 4625, Failure Reason: An Error occured during Logon, Status: 0xC000006D, Logontype: 2 0xC000006D: The attempted logon is invalid. This is either due to a bad username or authentication information. SubType: 0x0

Moin, und willkommen im Forum! das regelst Du im AD: Abgebildet sind die Default-Einstellungen, d.h. wenn Du das ganze z.B. pro Gruppe regeln möchtest, baust Du einen NPS-Server und regelst das ganze dort mit CAP/RAP. Würde ich auch immer empfehlen, sofern man überhaupt RRAS als VPN-Konzentrator einsetzen möchte.

Hallo zusammen, ich bekomme unter Windows Server 2022 den Routing und RAS Dienst, nur VPN nicht zum Laufen. Folgendes habe ich bisher gemacht: Routing und RAS installiert VPN ausgewählt IP Adressbereich konfiguriert Wo lege ich die berechtigten Benutzer fest?

Das hat niemand vorgeschlagen, und schon gar nicht ich. Server, die Dienste an User bereitstellen, sollen natürlich ins AD, um reibungslose Authentifizierung und Autorisierung zu ermöglichen. Hier reden wir hingegen von Infrastruktur, auf die nur Admins direkten Zugriff haben dürfen. Vollkommen andere Schicht. VMware --> das Security-Handbuch empfiehlt seit 7 oder 6.7, vSphere nicht mehr zum AD zu joinen und auch keine AD-Autorisierung mehr zu betreiben. Veeam --> empfiehlt seit geraumer Zeit, keine Backup-Infrastruktur zum AD zu joinen Microsoft --> für Azure Local wird AD zwar empfohlen, weil Windows-Cluster mit AD nun mal besser zu managen sind als ohne, aber ein *separates von Produktion*.

Proxmox (das gleiche wie VMware) sind wir am testen. Datacore funktioniert bei uns tadellos (mehrere PB). Nur brauchste dafür halt auch ein SAN um Datacore nutzen zu könnnen. Was meinst Du eigentlich mit "Clusterbetrieb mit hoher Verfügbarkeit"? Wenn es um Verfügbarkeit geht, mußt du auf vieles achtet. erstmal mußt festlegen wie hoch deine Verfügbarkeit sein soll bzw. wie gering deine Downtime sein darf (das muss alles die Firmenleitung festlegen) muss dir klar sein, das Hochverfügbarkeit per se teuer ist, 98,5% = knappe 6 Tage Downtime, 99% = 3,6 Tage, 99,9% = 8,7 Std. je mehr Neunen desto teurer und zwar exponentiell, deine ganze Infrastruktur muss darauf ausgelegt. Server mit mehrerern Netzwerkkarten/Ports, reduntant ausgelegte Switche, Router usw., das SAN muss dafür natürlich auch ausgelegt sein. Also brauchste dafür schon mal beim SAN Storage alles doppelt. die Wiederherstellung liegt ja bei Dir. Du mußt ein Backupkonzept erstellen, deine Bosse müssen sich über RTO und RPO Gedanken machen dann kannst auch was über Wiederherstellungszeiten sagen namhafte Hersteller (z.B. DELL, HPE). Da brauchste mit Wortmann oder Thomas Krenn net anfangen brauchste natürlich einen gscheiten Wartungsvertrag mit dem Hersteller mit entsprechenden Reaktions- bzw. Entstörzeiten wenn du bei einem davon das Sparen anfängst dann kannste deine Hochverfügbarkeit gleich in die Tonne kloppen Interessanter Ansatz: Also am besten keinerlei Server ins AD aufnehmen und somit maximalen Verwaltungsaufwand betreiben. Ziemlich fern jeglicher Realität deine "Idee".

Hi Jan, die Frage war mit Absicht etwas offener .. es ging mir nicht ums Grundwissen, sondern um echte Erfahrungswerte mit Alternativen. Ich kenn den TerraXaler sehr genau, hab jahrelang intensiv und tief damit gearbeitet – wirklich bis runter auf Systemebene. Sagen wir so: Ich weiß, was dahintersteckt, und für mich ist das Verhältnis zwischen Marketing und tatsächlicher Technik schlicht nicht überzeugend. Viele Funktionen, die dort als exklusive Features verkauft werden, stammen im Kern aus kostenlosen Software Features von anderer Hersteller. Das ist legitim, aber für mich kein Grund, so viel Geld auf den Tisch zu legen. Gesucht wird eine Lösung für rund 20 VMs, verteilt auf zwei Brandabschnitte, mit 25G-Verbindung zwischen den Hosts. Ziel ist eine stabile, nachvollziehbare und langfristig wartbare Umgebung. Im Blick hab ich aktuell Proxmox, Datacore, S2D und Nutanix. Mich würde interessieren, was davon bei euch wirklich sauber läuft, vor allem was Wiederherstellungszeiten und Pflege angeht.

Und warum nicht einfach den 2019 runterstufen? alternativ das Konto den alten dc löschen und die frage mit ja beantworten. Dann im DNS die Einträge für die Zone bereinigen und die hosteinträge entfernen. Aber wie gesagt einfach runterstufen und alles ist gut.

Hallo, ich habe vor einiger zeit eine Migration einer Domain von einem Windows 2019 Essentials zu einem Windows 2022 Server gemacht. Noch läuft der Windows 2019 Essential. Abschließend sollte man eigentlich neben Zertifikatsdienst auch die AD Rollen entfernen aber ich habe mal gehört man kann den Server auch einfach ausschalten und auf die neuen Domaincontroller Einträge löschen kann damit der denkt er ist der einzige und kein Replikations Server mehr vorhanden. Gibs das und wenn ja was für Einträge müsste man abändern? Gruß Marcel

Hi, sei mir nicht böse: Wenn man sich damit auskennt, stellt man hier nicht eine solch "oberflächliche" Frage. Was ist dir am Xaler denn zu unsicher und ist somit ein No-Go für die zu findende Lösung? Die Rückfragen von @cj_berlin hätte der Xaler btw. im Gepäck. Den kannst du in zwei Brandabschnitte packen und er bringt ein gehärtetes Active Directory für die Virtualisierungsinfrastruktur mit. Wenn du keine Äpfel mit Birnen vergleichst und dir ähnliche, fertige Lösungen ansiehst, wirst du preislich immer in einer ähnlichen Region landen. Generell wären wirkliche Anforderungen hilfreich. Danach kann man dann das benötigte Budget ermitteln und schraubt dann ggfs. die Anforderungen runter oder das Budget hoch. Da der Xaler genannt wurde, kannst du dir ähnliche Lösungen ansehen wie bspw. Azure Local, S2D, VMware vSAN, HPE VM Essentials, Nutanix, verge.io, Proxmox/Ceph, ... Gruß Jan

Moin, und willkommen im Forum! Die Schrift Deines Posts sieht nach Copy/Paste von woanders aus - ist es ein Cross-Post? Falls ja, bitte verlinken oder zumindest darauf verweisen. Du schreibst nicht, welche Workloads Dein Cluster bedienen soll. Die Erwähnung von TerraXaler lässt virtuelle Maschinen vermuten, aber, wie Reacher zu sagen pflegte, Vermutungen töten. Du schreibst auch nicht, wieviele Knoten Du anstrebst, und ob sie alle untereinander im gleichen Rack hängen oder auf mehrere Brandabschnitte verteilt werden sollen, und falls Zweiteres, ob der Ausfall eines ganzen Brandabschnittes ebenfalls aufgefangen werden soll. Wenn Du mit "in bestehende Windows-Umgebungen integrieren" so etwas wie "zum bestehenden AD joinen" meinst, solltest Du das lieber gleich wieder überdenken. Böse Menschen, die eines Tages Dein System ungefragt administrieren werden, freuen sich immer sehr über AD-gejointe Infrastruktur.

Hey zusammen, ich bin aktuell auf der Suche nach einer stabilen und bezahlbaren Lösung für einen Clusterbetrieb mit hoher Verfügbarkeit – allerdings ohne TerraXaler. Das System ist mir ehrlich gesagt zu unsicher und preislich auch völlig überzogen für das, was man real bekommt. (Wenn man sich damit auskennt) Ziel ist ein Setup mit möglichst wenig Downtime bei Hardwareausfall, idealerweise mit automatischem Failover und zentralem Storage oder Replikation. Interessant wären Lösungen, die sich gut in bestehende Windows Umgebungen integrieren lassen

OK, wie versprochen: ungehärteter uneingeschränkter bidirektionaler Forest Trust Auf einer Seite: Root + Sub, auf der anderen Seite: Single-Domain Auf allen Members UND DCs gilt: "Kerberos client support for claims etc." = ENABLED, sonst keine Kerberos Client-Einstellungen abweichend von Defaults Auf allen DCs in allen drei Domains gilt: "KDC support for claims etc." = "Fail unarmored authentication requests" Beobachtetes Verhalten: User aus einer beliebigen Domain kann sich interaktiv an einem Member aus einer beliebigen Domain anmelden ("Domain Users" aller drei Domains sind in "Users" und "Remote Desktop Users" auf allen Members) User aus einer beliebigen Domain kann, interaktiv s.o. angemeldet, auf eine File Share aus der jeweils anderen Domain zugreifen. PKI ist keine implementiert, somit auch keine Strict KDC Validation oder Ähnliches. Nun musst Du @mzahneissen schauen, was bei Dir anders ist: Kerberos-Client-Policy doch nicht auf alle DCs angewendet? Trust nur in eine Richtung? Trust gehärtet? Selektive Authentifizierung am Trust? Ich schätze, wenn klist Dir bei "Supported" immer FAST-Tickets zeigt, solltest Du mal auf den DCs mit klist -li 0x3e7 schauen, ob es für die DCs genauso gilt... P.S. Clientseitig ist in meinem Lab "Fail request if armoring not available" nirgends gesetzt.

Für Google: "Hybrid Standby" - System geht erst mal in den Energiesparmodus (keine Bitlocker-Abfrage) und später dann in die Hibernation (Bitlocker-Abfrage).

Das eine nennt sich auf deutschen System "Energie Sparen" - dabei wird alle Peripherie deaktiviert wenn möglich und nur der RAM-Inhalt aktiv gehalten. Das andere heißt dann "Ruhezustand" - dabei wird der RAM-Inhalt auf die Festplatte geschrieben und das System im Prinzip komplett ausgeschaltet. Danach muss Bitlocker die Festplatte erst wieder freischalten, der RAM-Inhalt wird von der Festplatte wiederhergestellt und Du kannst an der gleichen Stelle weitermachen. Dann solltest Du einstellen, dass das Gerät beim Zuklappen in den Ruhezustand geht.

Bis vor ein paar Wochen hatte ich auf meinem Lenovo Notebook, Modell: LENOVO Yoga Slim 7 Pro 14ACH5 R7 5800HS 16GB, 82NK001GGE im Zusammenhang mit dem Sleep und Bitlocker folgendes (richtiges) verhalten: Am Ende des Tages habe ich das Display zugeklappt, nach Kurzer Zeit ist der Notebook offensichtlich in den Sleep gegangen denn die Powertaste auf der Seite hat zum Blinken begonnen. Und selbst wenn man ihn nach ein paar Studen wieder aufgeklappt hätte, hätte man sich nur im OS anmelden müssen - ohne Bitlocker pin. Am nächsten Tag in der Früh gleich nach dem Aufklappen ist die PIN Anfrage vom Bitlocker gekommen. Nach dem Windows login war alles immer noch so offen wie vor dem Zuklappen, muss also ein Sleep oder Hibernate zuvor gewesen sein. Aktuell wenn ich zuklappe, kommt auch das Blinken der Powertaste. Am nächsten Tag kommt aber keine Bitlocker PIN Abfrage mehr sondern nur das OS Login und ich lande wieder direkt im den State wie vor dem Zuklappen. Meine Annahme war, dass er vor der Veränderung nach 6-8 Stunden in einen Tiefschlaf Mode gegangen ist und dann die Bitlocker PIN Abfrage wieder aktiviert wird. Ist dieses neue Verhalten ein Problem im Bereich Bitlocker oder ist es eher ein Powermanagemen/Sleep Problem das nach einiger Zeit nicht mehr richtig "tief" runtergefahren ist. Gibt es überhaupt so einen Tiefschlaf nach gewisser Zeit oder bilde ich mir das nur ein? Am liebsten wäre mir eigentlich, dass wenn ich das Display zuklappe er mich dann wieder nach dem Bitlocker PIN fragt.

Danke, den Artikel kannte ich noch nicht. Jedoch sehe ich auch hier keine Abhängigkeit für Armoring von Credential Guard. All unsere Server sind 2019/2022, die DCs 2019.

Hi, schau doch mal im Synchronization Service Manager nach. Alternativ mach ein Support Case auf. Gruß Jan

@Kaltes_Wasser Eine mögliche Lösung mittels ABE, inkl. Tutorial, wurde Dir vorgeschlagen. Was spricht nun explizit dagegen, diesen Weg zumindest einmal auszuprobieren? VG Damian

Ok, dann nicht. Netware konnte das schon vor 25 Jahren.

Notfalls schaust du dir die Doku zum CmdLet an.

In jeder MS Dokumentation über Postfach Cmdlets ist es beschrieben: https://learn.microsoft.com/en-us/powershell/module/exchangepowershell/set-calendarprocessing?view=exchange-ps#-identity

Ja oder den Alias. War jetzt zu schwer das auszuprobieren? ;)

Set-CalendarProcessing -Identity "%NameOfResourceHere%" -AddOrganizerToSubject $true ok, und was soll ich dann bei "%NameOfResourceHere%" hineinschreiben? Die E-Mail Adresse des Postfachs?

Lies mal diese Seite und den Hinweis zu Windows 2025. https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/delegated-managed-service-accounts/credential-guard-protected-machine-accounts

Moin an Board so starten wir dann in den Tag - ich koche Kaffee Allen einen guten Donnerstag, bleibt gesund Hier regnet es bei 10°C, soll vormittags aufhören bis etwa 13°C